redwing malware android telegram

RedWing svuota i conti via Telegram: nuovo virus Android che aggira anche l’autenticazione a due fattori

🛡️ Executive Summary

  • Il servizio RedWing MaaS distribuisce spyware Android tramite Telegram sfruttando APK contraffatti e abuso dei servizi di accessibilità.
  • Il malware intercetta SMS 2FA, registra input, acquisisce lo schermo, utilizza overlay bancari e consente il controllo remoto completo del dispositivo.
  • La mitigazione richiede il blocco delle installazioni da fonti sconosciute, il monitoraggio dei permessi di accessibilità e l’adozione di soluzioni di Mobile Threat Defense.

La piattaforma RedWing rappresenta una nuova evoluzione del modello Malware-as-a-Service (MaaS) applicato all’ecosistema Android. Analizzato dai ricercatori di Zimperium, il servizio viene commercializzato apertamente attraverso Telegram, dove gli operatori mettono a disposizione un’infrastruttura completa che consente anche ad attori con competenze tecniche limitate di generare, personalizzare e distribuire spyware mobili. A differenza dei tradizionali trojan bancari, RedWing non si limita al furto di credenziali, ma offre una piattaforma modulare capace di trasformare lo smartphone compromesso in uno strumento di spionaggio remoto, frode finanziaria e persino attacco distribuito contro altri obiettivi. L’operazione dimostra come il cybercrime mobile stia evolvendo verso modelli commerciali sempre più strutturati, nei quali il malware viene venduto come un servizio in abbonamento con documentazione tecnica, pannelli di gestione e assistenza agli affiliati.

Telegram diventa la piattaforma commerciale di RedWing

Secondo l’analisi di Zimperium, gli sviluppatori di RedWing hanno costruito una vera infrastruttura commerciale attorno al malware. L’accesso al servizio avviene tramite un canale Telegram, dove gli operatori promuovono il prodotto con video dimostrativi, documentazione tecnica e un sistema di sottoscrizione automatizzato gestito da bot. Questo approccio abbassa drasticamente la soglia di ingresso nel cybercrime mobile, permettendo anche a criminali privi di particolari competenze di avviare campagne di spyware Android.

image 211
 Bot Telegram per la creazione dell’apk

Il cuore della piattaforma è il cosiddetto Dropper Constructor, un generatore che crea pacchetti APK personalizzati adattandoli agli obiettivi scelti dall’operatore. Ogni campagna può così utilizzare un’applicazione apparentemente diversa pur mantenendo lo stesso motore malevolo, rendendo più difficile il rilevamento basato esclusivamente sulle firme.

APK contraffatti e abuso dei servizi di accessibilità

Annuncio
image 212
RedWing svuota i conti via Telegram: nuovo virus Android che aggira anche l'autenticazione a due fattori 10

Uno degli aspetti più sofisticati di RedWing riguarda la fase iniziale dell’infezione. I file APK vengono presentati come copie convincenti degli store ufficiali, riproducendo l’interfaccia di Google Play, Galaxy Store, Huawei AppGallery o RuStore, completi di recensioni, valutazioni e statistiche di download completamente falsificate.

image 213
 Pannello di costruzione del dispositivo di erogazione

Una volta installata l’applicazione, la vittima viene guidata attraverso una procedura che la convince a concedere autorizzazioni estremamente sensibili, tra cui la disattivazione delle ottimizzazioni energetiche e l’impostazione del malware come applicazione predefinita per la gestione degli SMS. Successivamente RedWing sfrutta i Servizi di Accessibilità di Android per automatizzare interazioni sullo schermo, simulare tocchi, concedere ulteriori permessi e nascondere la propria icona dall’elenco delle applicazioni installate, aumentando notevolmente la persistenza sul dispositivo compromesso.

Controllo remoto completo e furto di credenziali

image 214
 Sovrapposizioni alle autorizzazioni attivate

Dal punto di vista operativo, RedWing mette a disposizione un arsenale di funzionalità che lo avvicinano a un vero strumento di amministrazione remota. Il malware comunica con il server di Command and Control (C2) utilizzando connessioni HTTP e WebSocket, ricevendo istruzioni in tempo reale dagli operatori. È in grado di sottrarre messaggi SMS, contatti, cronologia delle chiamate e file memorizzati nello smartphone, ma soprattutto intercetta automaticamente i codici di autenticazione a due fattori inviati tramite SMS, aggirando uno dei sistemi di protezione più diffusi.

image 215
Personalizzazione delle autorizzazioni di accessibilità

RedWing può inoltre attivare il trasferimento delle chiamate mediante codici USSD, consentendo agli attaccanti di intercettare anche eventuali verifiche vocali utilizzate dagli istituti bancari. Il malware implementa inoltre un sistema di keylogging in tempo reale e sfrutta l’API MediaProjection di Android per trasmettere in streaming ciò che appare sul display, offrendo agli operatori una visibilità completa sulle attività della vittima.

Overlay bancari e funzionalità avanzate

Tra le caratteristiche più pericolose figura la possibilità di generare overlay fraudolenti che vengono sovrapposti alle applicazioni legittime di home banking o ai wallet di criptovalute. Quando l’utente apre una delle applicazioni bersaglio, RedWing visualizza una schermata identica a quella originale inducendo la vittima a inserire username, password, PIN e codici di sicurezza che vengono immediatamente trasmessi agli attaccanti.

image 216
 Diverse sovrapposizioni sullo schermo controllate da RedWing

Parallelamente il malware può acquisire screenshot, registrare audio attraverso il microfono, attivare la fotocamera e raccogliere ulteriori informazioni sensibili dal dispositivo. Una funzionalità particolarmente insolita consiste nella possibilità di trasformare gli smartphone compromessi in nodi di una rete utilizzata per attacchi DDoS, consentendo agli operatori di avviare campagne di HTTP Flood direttamente dal pannello di controllo centralizzato e sfruttando migliaia di dispositivi infetti come botnet distribuita.

Banche russe e servizi crypto tra i principali obiettivi

L’analisi condotta dai ricercatori evidenzia come RedWing sia stato inizialmente configurato per colpire soprattutto il settore finanziario russo. Il malware contiene riferimenti a 82 istituzioni finanziarie e numerose applicazioni dedicate alle criptovalute, ma il sistema è completamente dinamico. Gli operatori possono infatti modificare in qualsiasi momento l’elenco dei bersagli direttamente dal pannello di amministrazione senza distribuire nuove versioni del malware.

image 217
 Distribuzione dei bersagli di RedWing

Questa architettura rende le campagne estremamente flessibili e consente di adattare rapidamente gli attacchi a nuovi istituti bancari o servizi digitali. La diffusione avviene prevalentemente attraverso siti di phishing ottimizzati per smartphone, dove gli utenti vengono convinti a installare manualmente APK apparentemente legittimi provenienti da fonti esterne agli store ufficiali.

Il modello Malware-as-a-Service continua a evolversi

RedWing rappresenta un ulteriore passo nell’evoluzione del Malware-as-a-Service applicato ai dispositivi mobili. La piattaforma mostra diverse somiglianze con famiglie malware precedenti, come Oblivion, ma introduce una struttura commerciale più evoluta e una maggiore facilità di personalizzazione delle campagne. Per aziende e organizzazioni il rischio è particolarmente elevato negli ambienti BYOD (Bring Your Own Device), dove smartphone personali vengono utilizzati anche per accedere a servizi aziendali, piattaforme bancarie e sistemi di autenticazione multifattore. La combinazione tra overlay, furto di SMS 2FA, controllo remoto e servizi di accessibilità permette agli attaccanti di aggirare numerose misure di sicurezza tradizionali. La mitigazione passa attraverso il divieto di installare applicazioni provenienti da fonti sconosciute, il monitoraggio delle autorizzazioni di accessibilità, l’adozione di soluzioni di Mobile Threat Defense e una formazione continua degli utenti contro le campagne di phishing che sfruttano APK contraffatti. L’emergere di RedWing conferma come il mercato criminale mobile stia diventando sempre più organizzato, professionale e accessibile, ampliando sensibilmente la superficie di attacco nei confronti degli utenti Android.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto